個人資料私隱專員公署今天(1月15日)公布,11間本港教育機構的網站洩露學生檔案,共涉及8,505人的私隱。被披露的資料不乏敏感的個人資料,可被不法之徒用作行騙或假冒身分。公署至今未有收到受影響學生或家長提出的投訴。
公署去年4月跟進有關學校網站洩露個人資料的傳媒報道,對12間中學展開循規審查,證實其中九間學校的網站披露了2,115名學生的個人資料。披露的資料包括可識別資料當事人身分的姓名、學生編號、學生及家長的電話號碼及電郵地址。
九間中學回應表示,資料外洩事件屬網站管理人員錯誤地上載資料,或忘記移除有關檔案所致。另外三間則表示網上的資料屬虛構以作教學用途。
為了確定學校網站洩露個人資料的問題是否普遍,公署在互聯網上以關鍵詞搜尋,經過20小時的搜尋,找到21間教育機構ヽ共39份包含個人資料的檔案。公署繼而對其中兩間專上院校展開循規審查,即香港教育學院持續專業教育學院和嶺南大學持續進修學院,發現嶺南大學持續進修學院個案的影響範圍最大,涉及6,256名學生的資料。
個人資料私隱專員蔣任宏說,今次循規行動中偵測得網站外洩學生和家長資料的事件惹人擔憂。鑑於公署只是用簡單的方法和有限的時間搜查,便輕易發現網上外洩大量個人資料,可想而知實際情況肯定更為嚴重。行動所得結果反映,教育機構在保障個人資料方面欠缺警覺性和網上保安措施明顯不足。
公署已去信知會教育局這次循規審查的結果,和建議當局就事件與其管轄範圍內的學校採取跟進行動。公署鼓勵學校參考公署出版的《經互聯網收集及使用個人資料:給資料使用者的
指引》。
上述院校經公署知會循規審查結果後,已在網站刪除有關資料,和要求搜尋器從伺服器公司上刪除搜尋記錄的快取複本。
